Dyrektywa NIS2: czym jest i kogo dotyczy?

Dyrektywa NIS2 ma na celu dostosowanie standardów bezpieczeństwa informatycznego na obszarze Unii Europejskiej. Rozporządzenie NIS2 obejmuje blisko 160 000 podmiotów z sektora usług cyfrowych, które są kluczowe dla funkcjonowania infrastruktury internetowej. Czym dokładnie jest wprowadzona w 2023 roku dyrektywa NIS2? Jakie zmiany wprowadza i jakie są kary za jej naruszenie?
dyrektywa nis2 - czym jest i kogo dotyczy?

Co to NIS2?

NIS2 to ogólnounijne przepisy, których celem jest większy nacisk na wymagania dotyczące cyberbezpieczeństwa, takie jak zapewnienie bezpieczeństwa łańcucha dostaw, wytyczne obowiązków informacyjnych oraz mechanizmy kontroli i nadzoru. Ponadto, dyrektywa ustala podstawowe kryterium do identyfikacji podmiotów, oparte o wielkość przedsiębiorstwa. Określa także nowe zasady raportowania incydentów bezpieczeństwa.

W dobie wzrastających zagrożeń takich jak phishing (podszywanie się pod zaufane osoby lub instytucje w celu wyłudzenia poufnych informacji) czy ransomware (blokowanie dostępu do komputera lub danych i żądanie okupu za ich odblokowanie) nowa regulacja podkreśla, że cyberbezpieczeństwo to nie luksus, ale konieczność, która zapewnia stabilność zarówno na poziomie biznesowym, jak i indywidualnym.

Co zmienia dyrektywa NIS2?

Dyrektywa NIS2, będąca następcą dyrektywy NIS przyjętej w 2016 roku, ma na celu zapewnienie wyższego poziomu ochrony danych w przedsiębiorstwach działających na obszarze UE. Oto najważniejsze zmiany rozporządzenia NIS2:

  • Obejmuje nowe sektory, w tym m.in.: administrację publiczną, gospodarkę zarządzania odpadami oraz przestrzeń kosmiczną.
  • Znowelizowany dokument nakłada na podmioty nowe obowiązki, w tym wdrożenie narzędzi do zarządzania ryzykiem, zabezpieczenie łańcuchów dostaw czy opracowanie Planu Ciągłości Działania.
  • Ponadto, organizacje będą musiały raportować incydenty związane z cyberbezpieczeństwem w ściśle określonym czasie, co umożliwi szybsze reagowanie i minimalizowanie skutków ataków. Jednostki mają 24 godziny na przesłanie wczesnego ostrzeżenia oraz 72 godziny na zgłoszenie incydentu.
  • Teraz podmioty objęte dyrektywą są klasyfikowane na podstawie ich znaczenia dla gospodarki i dzielone na kategorie kluczowe i ważne, o czym poniżej.

Kogo NIS2 będzie dotyczyć?

Nowa dyrektywa znacząco rozszerza zakres sektorów objętych regulacjami. Co więcej, nowe przepisy wprowadzają kryteria wielkościowe, które określają, jakie podmioty muszą raportować istotne incydenty cyberbezpieczeństwa do krajowych organów nadzorczych. Oznacza to, że dyrektywa eliminuje wcześniejsze różnice między operatorami usług kluczowych a dostawcami usług cyfrowych, w konsekwencji klasyfikując je teraz na podstawie ich znaczenia dla gospodarki. W związku z tymi zmianami, wyróżniamy dwie kategorie podmiotów: jednostki kluczowe, a także jednostki ważne, które podlegają różnym reżimom nadzoru.

czym jest NI2? Co to NIS2? Jakie sektory NIS2

Dyrektywa NIS2 rozszerza zakres z pierwotnych 7 sektorów objętych dyrektywą NIS, dodając 8 kolejnych, co podsumowując, daje łącznie 15 sektorów. Wśród nowych dziedzin objętych regulacjami NIS2 znajdują się sektory takie jak:

  • Przemysł spożywczy

Rozporządzenie obejmuje wszystkie przedsiębiorstwa związane z produkcją, przetwarzaniem, dystrybucją i sprzedażą żywności.

  • Przemysł motoryzacyjny

Regulacje obejmują zarówno producentów, jak i dostawców części, mając na celu zabezpieczenie łańcucha dostaw i systemów produkcji przed cyberatakami.

  • Produkcja chemikaliów

Firmy zajmujące się produkcją i dystrybucją chemikaliów, w tym chemikaliów przemysłowych, pestycydów i innych materiałów chemicznych.

  • Dostawcy usług cyfrowych

NIS2 obejmie dostawców usług internetowych, a także usług w chmurze oraz centra danych.

  • Przestrzeń kosmiczna

Firmy, które zajmują się satelitami, infrastrukturą naziemną, telekomunikacją kosmiczną, nawigacją satelitarną, obserwacją Ziemi, badaniami oraz dostawami usług i technologii kosmicznych.

  • Gospodarka odpadami

Obejmuje przedsiębiorstwa zajmujące się zbieraniem, transportem, przetwarzaniem i utylizacją odpadów.

  • Administracja publiczna

Dotyczy systemów informacyjnych i sieci wykorzystywanych w gminach, powiatach i innych jednostkach samorządu terytorialnego.

  • Zarządzanie usługami ICT

Obejmuje zarządzane usługi IT i usługi bezpieczeństwa IT dostarczane przez zewnętrznych dostawców.

Podmioty kluczowe

Podmioty kluczowe to te, których zakłócenie działalności może mieć poważne konsekwencje dla społeczeństwa. Wśród nich możemy wyróżnić sektory takie jak:

1. Energetyka: 

  • Elektroenergetyka 
  • Ogrzewanie i chłodzenie miejskie 
  • Ropa naftowa 
  • Gaz

2. Transport: 

  • Lotnictwo 
  • Koleje 
  • Transport wodny (morski i śródlądowy) 
  • Transport drogowy

3. Bankowość: 

  • Infrastruktura rynków finansowych

4. Zdrowie: 

  • Szpitale 
  • Produkcja farmaceutyków, w tym szczepionek 
  • Woda pitna 
  • Zarządzanie ściekami

5. Infrastruktura cyfrowa: 

  • Punkty wymiany internetowego ruchu 
  • Dostawcy usług DNS 
  • Dostawcy usług chmurowych 
  • Dostawcy usług centrów danych 
  • Sieci dostarczania treści 
  • Dostawcy usług zaufania 
  • Dostawcy publicznych sieci komunikacji elektronicznej i publicznie dostępnych usług komunikacji elektronicznej

6. Zarządzanie usługami ICT: 

  • Dostawcy usług

     

7. Administracja publiczna 

  • Jednostki samorządu terytorialnego (powiatowe, gminne)

     

8. Przestrzeń kosmiczna 

  • Dostawcy oprogramowania
  • Operatorzy infrastruktury krytycznej
  • Producenci sprzętu kosmicznego

Podmioty ważne

Podmioty ważne to sektory, które również spełniają kryteria dyrektywy Parlamentu Europejskiego. Obejmują one usługi takie jak:

  • Poczta i usługi kurierskie
  • Zarządzanie ściekami i odpadami
  • Produkcja i dystrybucja chemikaliów
  • Produkcja i dystrybucja żywności
  • Producenci sprzętu i oprogramowania
  • Systemy IT organów administracji państwowej i samorządowej

Obie kategorie muszą stosować te same środki bezpieczeństwa z tą różnicą, iż podmioty kluczowe podlegają bardziej aktywnemu nadzorowi, podczas gdy instytucje ważne są monitorowane głównie po zgłoszeniu incydentu.

Kompetencje organów nadzorczych w zakresie kontroli środków zarządzania ryzykiem

Dyrektywa NIS2 przyznaje organom nadzorczym znaczne uprawnienia w zakresie monitorowania i wymuszania przestrzegania przepisów. Wśród ich kompetencji znajdują się:

  • Przeprowadzanie audytów bezpieczeństwa,
  • Żądanie dostępu do niezbędnych informacji, danych i dokumentacji od podmiotów podlegających regulacjom,
  • Wydawanie poleceń zapewniających zgodność działań podmiotów z dyrektywą NIS2.
 

W przypadku, gdy podmioty kluczowe nie spełniają wymogów dyrektywy, organy nadzorcze mogą wprowadzić surowe środki, takie jak tymczasowe zawieszenie ich certyfikatów czy zawieszenie działalności organizacji.

Kiedy zacznie obowiązywać NIS2?

Dyrektywa NIS2 zaczęła obowiązywać 16 stycznia 2023 roku. Przedsiębiorstwa w Polsce mają czas do 17 października 2024 roku, aby wprowadzić przepisy NIS2 do krajowych systemów prawnych. Dyrektywa ustala minimalne standardy harmonizacji na poziomie UE, co oznacza, że poszczególne kraje mogą wprowadzać dodatkowe wymogi i regulacje poza wytycznymi określonymi w NIS2. Dlatego czasu jest coraz mniej – organizacje powinny ocenić, czy podlegają nowym regulacjom oraz określić swoją klasyfikację w kontekście podmiotów kluczowych i ważnych.

Kary za brak wdrożenia NIS2 w organizacji

Dyrektywa NIS2 nakłada na państwa członkowskie UE obowiązek egzekwowania surowych sankcji za nieprzestrzeganie jej przepisów. Kara finansowa może sięgnąć nawet do 10 mln euro lub 2% rocznego światowego obrotu dla podmiotów kluczowych i do 7 mln euro, lub 1,4% rocznego obrotu dla podmiotów ważnych.

Państwa członkowskie mogą również, na przykład, nakładać okresowe kary pieniężne, które mają na celu zmusić organizacje do przestrzegania standardów zgodnie z wcześniejszymi decyzjami właściwych organów. Co więcej, surowe grzywny mają na celu zapewnienie, że organizacje będą przestrzegać nowych przepisów cyberbezpieczeństwa, tym samym minimalizując ryzyko i skutki potencjalnych incydentów.

Kara za brak NIS2, Kara za brak wdrozenia nis2, kara za naruszenie nis2

Jak SEDIVIO może pomóc Twojej organizacji w spełnieniu wymogów NIS2?

Nowe przepisy obejmują nie tylko wymóg posiadania własnej strategii cyberbezpieczeństwa, ale także obowiązki wobec łańcucha dostaw i dostawców. 

Oferujemy kompleksowe wsparcie w dostosowaniu Twojej organizacji do wymogów dyrektywy NIS2, zapewniając szerokie spektrum usług związanych z cyberbezpieczeństwem. Przede wszystkim, przeprowadzamy dokładną ocenę, czy Twoja organizacja podlega regulacjom NIS2 oraz ocenę gotowości do realizacji obowiązków wynikających z dyrektywy.

Wspieramy proces wdrożenia niezbędnych środków bezpieczeństwa, aby zapewnić pełną zgodność z przepisami. Obejmuje to implementację zaawansowanych polityk bezpieczeństwa, zabezpieczenie łańcuchów dostaw oraz opracowanie planów ciągłości działania.

Ponadto, pomagamy organizacjom nie tylko spełnić minimalne wymogi w zapewnieniu bezpieczeństwa, ale również w budowaniu solidnej strategii bezpieczeństwa, co pozwala na skuteczniejsze zarządzanie ryzykiem.

Wykorzystujemy autorski system Cyrima, który adresuje rosnący problem związany z zabezpieczaniem projektów i zmian procesowanych szczególnie tych, które działają na rynkach regulowanych. Dowiedz się więcej na temat Cyrimy tutaj.